Tech&Co
Replay
Direct tv
Direct
Données personnelles

Des pirates ont volé les données de 7 millions de personnes sur un site dédié à la génétique

placeholder video
Le site 23andme, spécialisé dans l'analyse de la génétique, a affirmé qu'un certain nombre de comptes de ses clients avaient été compromis.

Des pirates se sont attaqués à 23andme, une entreprise américaine spécialisée dans les tests génétiques. Elle propose à ses clients, au moyen d'un test salivaire, de découvrir ses origines ainsi que, sur option, d'éventuels parents. L'entreprise a reconnu l'attaque dans un communiqué officiel, qu'elle a publié le 6 octobre dernier.

Le site spécialisé Bleeping Computer aurait repéré, le 4 octobre, les données concernées sur un forum dédié à la revente de données volées par des cybercriminels. C'est à ce moment qu'il a alerté 23andme. Les données sont vendues par lots, coûtant entre 1 et 10 dollars selon la quantité sollicitée, avec les adresses email des clients concernés. Sept millions de personnes seraient concernées.

Les pirates ont utilisé la méthode du "credential stuffing" ("remplissage d'identifiants"). Elle consiste à utiliser des identifiants déjà piratés sur un autre site web, puis à les utiliser afin d'accéder au site voulu. Une méthode qui repose sur le fait que de nombreux utilisateurs utilisent un seul et même mot de passe pour tous leurs usages numériques.

Seulement quelques comptes forcés

Certains des comptes piratés avaient choisi l'option payante "DNA Relative" ("parents génétiques"): elle permet aux utilisateurs de comparer leurs informations génétiques avec d'autres utilisateurs, et ainsi de rentrer en contact avec d'éventuels parents. C'est par ces liens que les pirates ont pu accéder aux informations, selon Dark Web Informer, un collectif qui analyse les vols de données et leurs reventes sur le dark web.

"Un acteur malveillant a volé les données du site 23andme. Il prétend que la base de données volée concerne la moitié des clients de 23andme. Les données contiennent beaucoup d'informations confidentielles", a indiqué Dark Web Informer sur Twitter.

Parmi les données volées, on trouve en effet les noms et prénoms, photos de profil, sexe, dates de naissance, mais également les données liées à la génétique (dont l'ampleur n'est pas connue) et la localisation géographique.

Sur le même sujet

23andme a conseillé à ses clients de changer leur mot de passe, et a rappelé l'importance d'utiliser des mots de passe bien distincts pour chaque plateforme sur laquelle on s'inscrit, afin de ne pas permettre ce type de pratique malgré soi.

Victoria Beurnez

A la Une

Quel est cet organisme de formation qui a permis à une enfant de 9 ans d'obtenir son bac ?